源代码扫描工具fortify sca-苏州华克斯信息

让 sap “一眼倾心”，fortify 的---难以抗拒！

基于 sap 的产品安全战略要求，开发过程中的静态分析要---所有应用程序的安全性与抗击网络威胁的能力，源代码扫描工具fortify sca，从而保护客户和公司的业务安全。micro focus fortify 是助其成功的关键因素。

sap 用自主维护的静态分析工具来分析以专有 abap 语言编写的应用程序。但对于 java（abap 后 sap 蕞常用的编程语言），公司决定采纳第三方的服务。他们的选择是行业的leader——micro focus fortify，源代码扫描工具fortify规则，现在，sap 已将 fortify 完全整合到他们的开发全生命周期之中。

于是，源代码扫描工具fortify工具，sap 与 fortify 一起设计和实施了应用静态分析的综合解决方案，即基于 fortify 软件安全中心（ssc）和 fortify 静态代码分析器（sca）的综合解决方案，以 java、c#、jsp 等语言为主。

fortify system命令执行检测

除了使用 dataflowsourcerule 、dataflowsinkrule 等规则来定义污点---相关的属性外，fortify还支持使用 characterizationrule 来定义污点---相关的特性。

fortify在编译/分析代码过程中会把代码中的元素（代码块、类、表达式、语句等）通过树状结构体组装起来形成一颗 structural tree，然后扫描的时候使用 structural ---yzer 来解析 structuralrule ，蕞后输出匹配的代码。

下面以一个简单的示例看看 structural tree 的结构，示例代码如下